Politique en matière de divulgation des vulnérabilités

À la Commission européenne, la sécurité de nos systèmes d’information et de communication est une priorité absolue, conformément à la décision (UE, Euratom) 2017/46 de la Commission.

Toutefois, l’existence de vulnérabilités ne peut jamais être totalement écartée, malgré tous les efforts déployés. Lorsque des vulnérabilités sont détectées et exploitées, elles mettent en péril la confidentialité, l’intégrité ou la disponibilité des systèmes de la Commission européenne et des informations qui y sont traitées.

La présente politique en matière de divulgation des vulnérabilités décrit les systèmes et types de tests qui sont autorisés et les modalités de signalement des vulnérabilités. Nous vous encourageons à nous contacter pour signaler d’éventuels problèmes de sécurité dans nos systèmes en respectant la présente politique.

Si vous agissez de bonne foi pour détecter et signaler les vulnérabilités des systèmes de la Commission européenne, tout en respectant la présente politique, nous collaborerons avec vous pour comprendre et résoudre rapidement ces problèmes.
La Commission européenne n’engagera pas d’action en justice liée à vos activités visant à détecter les vulnérabilités de nos systèmes tant que vous suivrez les lignes directrices figurant dans la présente politique.

La présente politique s’applique à tous les systèmes de la Commission européenne reliés à internet, notamment:

• la présence de la Commission européenne sur le web dans son ensemble:
  • *.ec.europa.eu/*,
  • *.commission.europa.eu/*;
• les adresses IP publiques appartenant à l’ASN 42848, et les services associés;
• tout autre logiciel publié par la Commission européenne.

Tous les services qui ne sont pas expressément énumérés ci-dessus sont exclus du champ d’application et ne peuvent pas faire l’objet de tests.
En outre, les vulnérabilités constatées dans les systèmes par leurs fabricants sont également exclues du champ d’application et doivent être signalées directement à ces fabricants conformément à leur propre politique en matière de divulgation (le cas échéant).

Dans l’exercice de vos activités, vous devez impérativement:

• ne pas profiter de la vulnérabilité ou du problème que vous avez découvert(e), par exemple en téléchargeant plus de données que nécessaire pour démontrer la vulnérabilité, ou en supprimant ou modifiant les données d’autrui;
• utiliser uniquement des exploitations inoffensives pour confirmer l’existence d’une vulnérabilité;
• ne révéler au public ou à d’autres parties aucune donnée téléchargée dans le cadre de votre découverte;
• ne pas révéler la vulnérabilité ou le problème au public ou à d’autres parties tant qu’il ou elle n’a pas été résolu(e);
• arrêter vos tests lorsque vous découvrez des informations sensibles (données permettant l’identification de personnes, informations médicales, financières ou confidentielles ou secrets d’affaires), nous en informer immédiatement et ne communiquer aucune donnée obtenue à des tiers.

Abstenez-vous d’effectuer les actions suivantes:

• introduire des logiciels malveillants (virus, vers, cheval de Troie, etc.) dans un système;
• compromettre un système en utilisant des exploitations pour en obtenir le contrôle total ou partiel;
• copier, modifier ou supprimer des données du système;
• apporter des modifications au système;
• accéder de manière répétée au système ou en partager l’accès avec des tiers;
• utiliser tout accès obtenu pour tenter d’accéder à d’autres systèmes;
• modifier les droits d’accès d’autres utilisateurs;
• utiliser des outils de scannage automatisé;
• recourir à une attaque dite de «force brute» pour accéder à un système;
• utiliser l’attaque par déni de service ou la manipulation psychosociale [hameçonnage (vocal), pourriels, etc.];
• mener des attaques portant atteinte à la sécurité physique.

Ce que nous attendons de vous

Si vous avez détecté une vulnérabilité, nous vous prions de bien vouloir:

• envoyer vos constatations par courrier électronique dès que possible à EC-VULNERABILITY-DISCLOSUREec [dot] europa [dot] eu (EC-VULNERABILITY-DISCLOSURE[at]ec[dot]europa[dot]eu), en précisant si vous acceptez ou non que votre nom ou votre pseudonyme soit rendu public en tant que découvreur/découvreuse du problème;
• chiffrer vos constatations à l’aide de notre clé PGP pour éviter que ces informations critiques ne tombent entre de mauvaises mains;
• nous fournir suffisamment d’informations pour reproduire le problème, afin que nous puissions le résoudre le plus rapidement possible. Généralement, l’adresse IP ou l’URL du système affecté et une description de la vulnérabilité suffisent, mais des vulnérabilités complexes peuvent nécessiter des explications complémentaires, telles que des informations techniques ou un code de démonstration de faisabilité;
• rédiger votre rapport en anglais, de préférence, ou dans toute autre langue officielle de l’Union européenne.

Ce que vous pouvez attendre de nous

En retour, si vous nous signalez une vulnérabilité, nous nous engageons à:

• répondre à votre signalement par une évaluation de ce signalement dans les trois (3) jours ouvrables;
• traiter votre signalement de manière strictement confidentielle;
• dans la mesure du possible, vous avertir lorsque la vulnérabilité aura été supprimée;
• traiter les données à caractère personnel que vous fournissez (telles que votre adresse électronique et votre nom) conformément à la législation applicable en matière de protection des données et ne pas transmettre ces données à des tiers sans votre autorisation;
• publier votre nom en tant que découvreur/découvreuse du problème, si vous y avez consenti dans votre courriel initial, quand et si nous divulguons le problème publiquement.